蔡一郎的部落格

Yilang's Blogger

1314回顧與出發

Published by Yi-Lang Tsai under , on 1/05/2014 08:37:00 上午
1314是一個滿有意義的組合,在情人之間代表著「一生一世」,希望彼此能夠長長久久,對於我而言,回想自己投入資訊這個領域,再走到資安這條路,從小學畢業時擁有第一台八位元電腦開始,就迷上了資訊技術帶來的驚奇,一路走來到目前已超過30個年頭,對於生涯發展而言,還真的跟「資訊」有著一生一世、長長久久的緣份,回顧2013年真的是忙碌的一年,剛結束短短的假期,2014年又緊接著到來,在年底利用最後一個周末與剩下的兩天年休假,讓自己算是小小的放鬆,也讓自己投身志工的行列,經歷一個未曾有過的體驗,雖然每天手機依然響個不停,還好已有不同的團隊可以幫忙處理,讓自己可以忙裏偷閒一下,看看公司每月統計的育才指標,畢竟一年下來超過50場次的演講,累加下來超過了3000人次,也花費了不少的時間,不過換個角度想,也讓團隊的成果有機會讓許多人知道,雖然有時候早上在南部處理公務,趕搭十二點前的車,下午上台北開會,一年搭乘超過120次以上的高鐵,往返北部、南部的過程,讓時間更顯得不夠使用,雖然老婆常說我好像在台北工作的上班族,雖然外面的工作機會不少,一年下來常常有邀約,不過我還是喜歡在南部,能夠放慢自己的步調,現在交通那麼的方便,以前的南北落差也正在縮小中。

如同往年一樣,新的一年到來,總得整理一下自己的辦公室,把屬於去年的打包起來,邊整理也邊規劃今年進行的計畫,在去年參加了不少的資安會議,看著不同的識別證,就回想起當時會議以及分享的內容,以及會後建立的人脈關係,現在Facebook相當的方便,因此也不太需要像以前還得換個名片或是留下連絡資料才行,「會後有任何的問題,只需要到Google或是Facebook上找我」,這是一句我在做完Q&A之後,常常會提到的一句話,這也代表著傳統的傳遞資訊的方式,跟以往已大不相同,這一年來到不同的場合分享公司的團隊與個人的研發成果與心得,主要是希望讓大家更瞭解到資訊安全的重要,當然也串起各種不同的連結與可能。

(圖)2013年參加會議的識別證

2013年在工作上有著幾件主要發展,這些也將做為2014年發展的規劃之一。

第一是帶領的資安團隊,完成了第一個惡意程式知識庫,在二月份於杜拜舉辦的The Honeynet Project Workshop,我們在年會上分享了這個知識庫的規劃與設計,以及目前的成果,也在八月底在國內透過記者會的方式,讓大家知道我們目前的成果,雖然整個平台還有許多需要改善的地方,這幾個月來有許多的使用者,也回饋了許多寶貴的意見給我們,個人是相當感謝這些人可以花費時間,將我們目前平台上的缺點說出來,畢竟資訊系統的發展,從過往到現在的經驗,

第二是將台灣雲端安全聯盟正式在內政部立案成立了,在成立前的這段期間,許多的志工的投入與付出,讓成立的過程更為順利,終於在7月26日完成了所有的申請程序,也收到了內政部正式的公文,個人也獲選成為第一屆的理事長,負起推動國內雲端安全與國際雲端安全聯盟(CSA, Cloud Security Alliance)橋接的角色,因此歡迎對於雲端安全有興趣的資訊產業,能夠參與投入雲端安全產業的推動,目前已踏出了第一步,個人的責任就是讓這個組織能夠發展的更健全與完整,也能夠對國內的資安產業有些許的貢獻。

第三是讓公司發展的資安平台(TWMAN, Taiwan Malware Analysis Net)取得了台灣與美國的商標專利,這個平台是中心投入多年來的研究成果,其中包括了前端分散在各主要學校的誘捕網路(Honeynet)、惡意程式的沙箱測試平台(Malware Sandbox)以及做為資訊展現的惡意程式知識庫(Knowledge Database)與今年預計發佈的資安趨勢觀察站,整個平台讓我們掌握惡意程式的活動更為透明,這些需要團隊的投入與經營。

2013年國際間的幾件大事,個人覺得以美國國安局大行網路監控一事最為重要,從國家安全的廣義解釋上,掌握安全的情資是相當重要的,因為未發生事件時,如果能夠預防它的發生,對於人民是有幫助的,只是有時候過了頭,這些立場就會遭到質疑了;另外是幾個重要的網路服務商或是資安的廠商,機敏資料的外洩等,這些都是對於資訊安全上的警訊,對於使用者而言,在使用這些服務時,必須要特別的考量到資訊安全的問題;再來是像歐洲的SPAMHAUS反垃圾郵件的組織,遭到史上最大一次的分散式阻斷服務攻擊(DDoS, Distributed Denial of Service),幾百Gbps的網路流量,是絕大多數ISP所無法承受的;韓國的金融與媒體遭到破壞性的攻擊事件;台灣與菲律賓之間的網路攻擊,這些都是真實的案例,只是每次事件過程,許多人只把它當歷史來看待,對於自身的資訊安全防護,鮮少有積極的行動來改善現有的問題。

資訊安全不可能做得滴水不漏,只能提高遭到威脅的困難度與降低發生事件時損失,在上星期擔任了一個資訊安全產業分析的研究計畫的委員,看到研究資料中掌握的國外投入在資訊安全上的預算,這是國內需要深深思考的,為什麼我們無法像韓國一樣有計畫與規模的發展出自有的資安產業,還能夠產生經濟效益,除了國內各單位對於資訊安全只有在發生事件時,才覺得它的重要之外,平時都是被認為不具效益的投資,不論在專業人才的養成以及設備資源的投入都顯得不足,許多對於資安的觀念也是需要加強的,往往新聞媒體爆出資料外洩的事件之後,接下來的那幾天會有人去討論它,不然就是遇到系統架構設計有問題,造成服務無法提供時,就全怪給「駭客入侵」,推諉與卸責成為政府與許多企業的一貫手法,把問題都推給看不見的駭客,但是真正願意去改善的,實在是少之又少。

2014年剛開始,但是推動的計畫與工作早已展開,除了去年持續進行的工作之外,當然今年還需要有新的成果,巨量資料、開放資料、資料探勘等,這些技術都與資料的處理有關,當然加值後的資訊,才會是有價值的,至於如何加值,就得回歸到歷年來的研究經驗與成果,結合不同的團隊共同投入,才可能創造出不一樣的機會;行動裝置的安全預計在今年會成為主要的資安威脅來源,雲端服務平台的安全問題,也將較往年為更重要,因此許多的企業或政府單位,已開始評估將現有的資訊系統,以及巨量的資料轉移到雲端服務的平台上處理,若傳統的資安問題與新興的資安問題交雜在一起,對於資訊安全事件的處理而言,將會是一大挑戰。

前陣子媒體發佈針對國內政府單位進行了資安的演練,發掘了超過100個漏洞,這其中隱藏了幾個問題,第一個是這些資訊系統定期進行的系統漏洞檢測機制面臨了挑戰,可能做得不確實或是單純的使用軟體掃一掃就結案,而未針對其中的漏洞進行修補或檢視所造成的威脅,另一個可能是這些單位所使用的系統弱點分析的工具出了問題,無法有效的找到現有系統上的漏洞,如果是後者的話,這個就值得省思了;第二個是凸顯資安專業人才不足的問題,政府目前需要透過學研界以及特定單位的人力支援,才有辦法針對網站的資安問題進行分析,而不是一個常設的組織,擔負起國安資訊安全的責任,當演練結束後,這些專業人員又回到原本的單位,那演練結束後就不會有資安事件了嗎?這些答案應該是顯而易知的。

2014年的發展是未知的,但可以想像的就是資訊安全事件不會中斷,只是規模的大與小,被攻擊的對象有所不同,不過所有的資訊事件都可以掌握部份的證據,以證明曾經發生過的事,對於資訊安全事件的預防,往往是專業與非專業之間的拔河,目前國內已有許多資訊安全維運中心(SOC, Security Operation Center),不論是政府單位或是民間企業,大多自建或是委外針對資訊安全進行防護,當受到防護的單位接收到事件單時,大多會有二種不同的反應,第一種是「趕快處理」,第二種是「可能嗎?應該是誤報。」,為何會有兩種不同的結果,主要在於資訊安全的認知不同,也可以看到國內對於資安的認知是普遍不夠的,這些是需要時間的。

後記:
預告一下,今年從二月中旬後到三月底,因為需要等待與陪伴著第二個小朋友的到來,若有演講邀約、授課、北部或是國外的活動,可能暫時無法前往,先跟大家說聲不好意思了...

相關網站:
NCHC資安服務  http://www.nchc.org.tw/tw/rd/cyber_security/
惡意程式知識庫  http://owl.nchc.org.tw/
台灣雲端安全聯盟  http://www.cloudsecurityalliance.org.tw/
台灣惡意程式分析網  http://twman.nchc.org.tw